PDF内带脚本Xss安全测试和整改（若依架构）

1、也可以本身编辑，我给各人上传一个方便测试。带脚本的pdf在谷歌文件打开是这样的。

含有脚本的pdf直接利用谷歌或者360欣赏器打开，文件地点：https://download.csdn.net/download/qq_41816505/89434145?spm=1001.2014.3001.5503

2、常用的方法后台可以利用pdfbox克制此类文件上传（利用的架构若依）。

       第一步：、pom文件引用依靠jar

1.         <dependency>
2.             <groupId>org.apache.pdfbox</groupId>
3.             <artifactId>pdfbox</artifactId>
4.             <version>2.0.31</version>
5.         </dependency>

复制代码

        2.2、我是在若依架构编码的。
        第二步：先编写一个 PdfUtils.java

1. package com.ruoyi.web.controller.common;
3. import com.ruoyi.common.utils.uuid.UUID;
4. import org.apache.pdfbox.io.RandomAccessBufferedFileInputStream;
5. import org.apache.pdfbox.io.RandomAccessRead;
6. import org.apache.pdfbox.pdfparser.PDFParser;
7. import org.apache.pdfbox.pdmodel.PDDocument;
8. import org.slf4j.Logger;
9. import org.slf4j.LoggerFactory;
10. import org.springframework.web.multipart.MultipartFile;
12. import java.io.*;
14. public class PdfUtils {
15.     private static final Logger log = LoggerFactory.getLogger(CommonController.class);
16.     /**
17.      * 获取不带扩展名的文件名
18.      */
19.     public static String getFileNameNoSuffix(String filename) {
20.         if ((filename != null) && (filename.length() > 0)) {
21.             int dot = filename.lastIndexOf('.');
22.             if ((dot > -1) && (dot < (filename.length()))) {
23.                 return filename.substring(0, dot);
24.             }
25.         }
26.         return filename;
27.     }
29.     /**
30.      * 获取文件扩展名
31.      */
32.     public static String getSuffixNameName(String filename) {
33.         if ((filename != null) && (filename.length() > 0)) {
34.             int dot = filename.lastIndexOf('.');
35.             if ((dot > -1) && (dot < (filename.length() - 1))) {
36.                 return filename.substring(dot + 1);
37.             }
38.         }
39.         return filename;
40.     }
43.     /**
44.      * File转MultipartFile
45.      *
46.      * @param mulFile 文件对象
47.      * @return Multipart文件对象
48.      */
49.     public static File multipartFileToFile(MultipartFile mulFile) throws IOException {
50.         InputStream ins = mulFile.getInputStream();
51.         String fileName = mulFile.getOriginalFilename();
52.         String prefix = getFileNameNoSuffix(fileName) + UUID.randomUUID().toString();
53.         String suffix = "." + getSuffixNameName(fileName);
54.         File toFile = File.createTempFile(prefix, suffix);
55.         OutputStream os = new FileOutputStream(toFile);
56.         int bytesRead = 0;
57.         byte[] buffer = new byte[8192];
58.         while ((bytesRead = ins.read(buffer, 0, 8192)) != -1) {
59.             os.write(buffer, 0, bytesRead);
60.         }
61.         os.close();
62.         ins.close();
63.         return toFile;
64.     }
67.     /**
68.      * 校验pdf文件是否包含js脚本
69.      **/
70.     public static boolean containsJavaScript(File file) throws IOException {
72.         RandomAccessRead is = new RandomAccessBufferedFileInputStream(file);
73.         try {
75.             PDFParser parser = new PDFParser(is);
76.             parser.parse();
77.             PDDocument doc = parser.getPDDocument();
78.             String CosName = doc.getDocument().getTrailer().toString();
79.             if (CosName.contains("COSName{JavaScript}") || CosName.contains("COSName{JS}")) {
80.                 return true;
81.             }
82.         } catch (Exception e) {
83.             log.error("PDF效验异常：" + e.getMessage());
84.             return true;
85.         } finally {
86.             is.close();
87.         }
88.         return false;
89.     }
91. }

复制代码

1. [/code] [size=1]第三部在上传的地方加check。[/size]
3. [code]   @PostMapping("/upload")
4.     public AjaxResult uploadFile(MultipartFile file) throws Exception
5.     {
6.         try
7.         {
8.             //------------------pdf检查------------------------
9.             // 文件后缀
10.             String retfileName = file.getOriginalFilename();
11.             String suffix = retfileName.substring(retfileName.lastIndexOf(".") + 1).toLowerCase();
12.             // 判断是否是pdf文件类型
13.             if (StringUtils.equals(suffix, "pdf")) {
14.                 // 判断文件xss攻击
15.                 boolean haveJavaScript = PdfUtils.containsJavaScript(PdfUtils.multipartFileToFile(file));
16.                 if (haveJavaScript) {
17.                     AjaxResult ajax = AjaxResult.error("对不起,您上传的文件[" + retfileName + "]包含xss脚本代码!");
18.                     return ajax;
19.                 }
20.             }
21.             //------------------end------------------------
23.             // 上传文件路径
24.             String filePath = RuoYiConfig.getUploadPath();
25.             // 上传并返回新文件名称
26.             String fileName = FileUploadUtils.upload(filePath, file);
27.             String url = serverConfig.getUrl() + fileName;
28.             AjaxResult ajax = AjaxResult.success();
29.             ajax.put("url", url);
30.             ajax.put("fileName", fileName);
31.             ajax.put("newFileName", FileUtils.getName(fileName));
32.             ajax.put("originalFilename", file.getOriginalFilename());
33.             return ajax;
34.         }
35.         catch (Exception e)
36.         {
37.             return AjaxResult.error(e.getMessage());
38.         }
39.     }

复制代码

[code][/code] 最后编码完成后，再次上传带脚本的pdf文件就有错误提示：

下载含有脚本的pdf文件：https://download.csdn.net/download/qq_41816505/89434145?spm=1001.2014.3001.5503

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。